ePrivacy Directive (2002/58/EC, päivitetty 2009/136/EC) on EU:n direktiivi, joka säätelee yksityisyyttä sähköisessä viestinnässä. Se on tunnettu myös nimellä “Cookie Law”, koska se asettaa vaatimukset evästeiden käytölle. Direktiivi täydentää GDPR:ää keskittyen erityisesti sähköiseen viestintään.
ePrivacy-direktiivin keskeiset säännöt
Evästeiden käyttö vaatii suostumuksen, paitsi jos ne ovat “välttämättömiä” palvelun toimittamiseen. Käyttäjälle tulee kertoa, mitä evästeitä käytetään ja mihin tarkoitukseen, ja pyytää aktiivinen suostumus.
Sähköisen viestinnän luottamuksellisuus on suojattu. Direktiivi koskee sähköpostia, pikaviestintää, puheluita ja muita sähköisen viestinnän muotoja.
Suoramarkkinointi sähköpostilla vaatii opt-in-suostumuksen, paitsi olemassa oleviin asiakkaisiin (soft opt-in). Lähettäjän tulee tarjota helppo opt-out-mekanismi jokaisessa viestissä.
Location data (sijaintitieto) saa kerätä vain suostumuksella ja käyttää vain anonyymisti tai käyttäjän suostumuksella.
Direktiivin historia ja kehitys
Alkuperäinen direktiivi (2002) annettiin televiestinnän yksityisyyttä varten. Se käsitteli puhelut, tekstiviestit ja perinteisen sähköisen viestinnän.
Cookie-lain muutos (2009) laajensi direktiiviä koskemaan evästeitä ja vastaavia teknologioita. Tämä teki cookie-bannereista pakollisia EU:ssa.
ePrivacy Regulation (ePrivacy-asetus) on ollut valmisteilla vuodesta 2017. Se tulisi korvaamaan direktiivin ja yhtenäistämään säännöt EU:ssa (nykyinen direktiivi jättää jotain tulkinnanvaraa jäsenmaille).
Viivästykset ovat viivästyttäneet ePrivacy-asetuksen hyväksymistä. Se ei ole vielä voimassa vuonna 2025, mutta odotetaan tulevaisuudessa.
ePrivacy vs. GDPR
GDPR on yleinen tietosuoja-asetus, joka koskee kaikkea henkilötietojen käsittelyä. ePrivacy on erityisasetus, joka keskittyy sähköiseen viestintään ja evästeisiin.
Lex specialis -periaate tarkoittaa, että ePrivacy menee GDPR:n edelle sähköisen viestinnän asioissa. Jos ePrivacy säätää jotain eri tavalla, sitä noudatetaan.
Molempien noudattaminen on tarpeen. GDPR asettaa yleiset periaatteet (suostumus, läpinäkyvyys, oikeudet), ja ePrivacy täsmentää sähköisen viestinnän osalta.
Sakot voivat tulla kumman tahansa perusteella. GDPR-sakot ovat usein suurempia (jopa 4% liikevaihdosta), mutta ePrivacy-rikkomukset voivat myös johtaa sanktioihin.
Evästeet ja suostumus ePrivacy-direktiivin mukaan
Välttämättömät evästeet eivät vaadi suostumusta. Nämä ovat evästeitä, jotka ovat “ehdottoman välttämättömiä” palvelun tarjoamiseen, esim. ostoskorin tallennus, session hallinta, kirjautuminen.
Analytiikka-evästeet vaativat suostumuksen. Vaikka ne eivät ole “markkinointia”, ne eivät ole välttämättömiä, joten suostumus tarvitaan. Jotkut tulkinnat sallivat anonyymit analytiikka-evästeet ilman suostumusta, mutta tämä on kiistanalaista.
Markkinointi- ja seuranta-evästeet vaativat aina suostumuksen. Kolmannen osapuolen evästeet mainosverkostoilta ovat ePrivacy-direktiivin ytimessä.
Suostumuksen tulee olla aktiivinen. “Jatka selaamalla” tai implisiittinen suostumus ei riitä – käyttäjän tulee tehdä selkeä toimenpide (klikata “Hyväksy”).
Suoramarkkinointi sähköpostilla
Opt-in on pääsääntö. Yritys saa lähettää markkinointia sähköpostitse vain, jos vastaanottaja on nimenomaisesti antanut siihen luvan.
Soft opt-in -poikkeus sallii markkinoinnin olemassa oleville asiakkaille, jos he ovat ostaneet samankaltaisia tuotteita/palveluita ja heille on annettu helppo tapa kieltäytyä.
Opt-out-linkki jokaisessa viestissä on pakollinen. Käyttäjän tulee voida peruuttaa suostumuksensa helposti, yleensä klikkaamalla “Peruuta tilaus” -linkkiä.
B2B-poikkeus: Jotkut tulkinnat sallivat B2B-sähköpostimarkkinoinnin ilman opt-inia, jos vastaanottaja on yrityksen edustaja ja yhteydenotto on liiketoiminnallista. Tämä on kuitenkin tulkinnanvaraista.
Merkitys yritykselle
ePrivacy-direktiivi vaikuttaa kaikkiin EU:ssa toimiviin yrityksiin, jotka käyttävät evästeitä tai lähettävät sähköpostimarkkinointia. Se ei ole valinnaista.
Cookie banner on ePrivacy-direktiivin vaatimus, ei pelkästään GDPR:n. Vaikka GDPR puuttuisi, ePrivacy silti vaatisi suostumuksen evästeisiin.
Pk-yritykselle käytännössä tämä tarkoittaa: asenna laillinen cookie banner (käytä CMP:tä) ja varmista, että sähköpostilistasi on opt-in-perusteinen.
Tulevaisuus: seuraa ePrivacy-asetuksen kehitystä. Kun se astuu voimaan, se saattaa tuoda tiukempia sääntöjä ja yhtenäisemmän tulkinnan kaikkiin EU-maihin.
Älä aliarvioi ePrivacy-direktiiviä vain siksi, että GDPR saa enemmän huomiota. Evästeet ja sähköpostimarkkinointi ovat yrityksen markkinoinnin ytimessä, ja laiminlyönti voi maksaa paljon.